Basisbeveiligingsniveau van referentiecomponenten
Het BasisBeveiligingsNiveau (BBN) is het in een bepaalde situatie minimaal vereiste niveau van informatiebeveiliging, zoals vastgesteld in de Baseline Informatiebeveiliging Overheid (BIO). Het BBN is bruikbaar als gemeenschappelijk vertrekpunt voor overheidsorganisaties om benodigde beveiligingsmaatregelen te identificeren en implementeren.
De BIO kent 3 basisbeveiligingsniveaus:
- BBN1 (Basis): het basisbeveiligingsniveau dat voor alle overheidsorganisaties verplicht is met een set beveiligingsmaatregelen om gevoelige informatie en systemen tegen de meest voorkomende bedreigingen te beschermen. BBN1 richt zich op beveiligingsaspecten zoals beveiliging van informatiesystemen, toegangsbeheer, bewustwording van medewerkers en incidentbeheer.
- BBN2 (Standaard): dit niveau dat geldt voor overheidsorganisaties waar gevoelige informatie wordt verwerkt en een hoger risicoprofiel aanwezig is. Bij BBN2 horen bijvoorbeeld extra maatregelen voor beheer van externe toegang, geavanceerde authenticatie en extra beveiliging van communicatiesystemen. Gemeenten kennen ook BBN2+ voor situaties waarin BBN2 te laag is, maar BBN3 te hoog is. Bij BBN2+ is, bovenop BBN2, een beperkte set aanvullende maatregelen nodig.
- BBN3 (Hoog): het hoogste niveau van beveiliging voor overheidsorganisaties die zeer gevoelige informatie verwerken of waar een verhoogd risico op geavanceerde cyberdreigingen aanwezig is. Hierbij horen geavanceerde beveiligingsmaatregelen en controles om risico's te verkleinen en weerbaarheid tegen aanvallen te vergroten. BBN3 kan bijvoorbeeld extra maatregelen omvatten zoals continue monitoring, geavanceerde dreigingsdetectie en cryptografische bescherming. In de regel komt bij gemeenten geen BBN3 voor.
De BIO geeft een uitgebreide toelichting op de 3 BBN's in 'Deel 2 Kader - Bijlage 2 Basisbeveiligingsniveaus'.
Bij het bepalen van het BBN wordt (ook) gebruik gemaakt van de betrouwbaarheidscriteria 'Beschikbaarheid', 'Integriteit' en 'Vertrouwelijkheid' (BIV). Het aspect Vertrouwelijkheid is het belangrijkst voor vaststelling van het BBN. Bij afwijkende scores voor Beschikbaarheid en/of Integriteit, wordt geadviseerd daarvoor een aanvullende risicoanalyse te doen. De pagina Betrouwbaarheidscriteria van referentiecomponenten toont per GEMMA referentiecomponent de scores op de 3 betrouwbaarheidscriteria.
Een BBN kan voor verschillende soorten objecten en aspecten binnen een organisatie worden bepaald. Bijvoorbeeld voor applicaties, dataobjecten, netwerkinfrastructuur, fysieke objecten of personeel en processen. Onderstaand diagram toont voor ieder van de GEMMA referentiecomponenten het BBN en kan bijvoorbeeld worden gebruikt als:
- Hulpmiddel om te tonen welke referentiecomponenten een hoog BBN hebben en extra aandacht verdienen.
- Startpunt voor een gemeente om BBN's voor aanwezige applicaties te bepalen
- Hulpmiddel bij het uitvoeren van een Baselinetoets BBN BIO.
Diagram basisbeveiligingsniveau[bewerken]
Er is ook een Poster basisbeveiligingsniveau van referentiecomponenten. Dit is hetzelfde diagram als hierboven, maar dan met een extra toelichtingsbalk aan de onderkant. De poster is ook beschikbaar in de Softwarecatalogus om de pakketten van een gemeente op te plotten.